Nog meer dingen die van de AVG ineens niet zouden mogen

| AE 10713 | Privacy | 62 reacties

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit de nieuwsberichten van de afgelopen tijd van mensen die dingen niet meer mogen, en vooral: waarom ze ongelijk hebben.

Niet meer durven bidden voor de zieken – dankzij de privacywet. Dat schreef NRC onlangs. Het noemen van een naam in het gebed (eventueel in combinatie met een verwijzing naar ziekte) kan mogelijk als een verwerking van persoonsgegevens gezien worden. En dan zou de kerk een boete kunnen krijgen.

Onterechte angst, lijkt me. Allereerst is hier sprake van een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terecht komen. Een gebed of preek is geen doorzoekbaar gestructureerd geheel aan informatie. Daarnaast krijg je hier dan onmiddellijk een botsing met de vrijheid van godsdienstuitoefening (artikel 18 UVRM en artikel 6 Grondwet), zodat je op zijn minst een belangenafweging moet maken tussen de grondrechten privacy en godsdienst: wat weegt zwaarder, de religieuze behoeftes van de gelovigen of de privacy van de zieke die wellicht niet in gebed genoemd wil worden?

Wij kunnen geen medicijnendoosjes met etiketten meer aannemen bij onze retourdienst medicijnen, aldus mijn apotheek. Dat twitterde ik een paar weken terug. Het goed verwerken van oude medicijnen is belangrijk omdat deze het milieu ernstig vervuilen en gezondheidsrisico’s vertegenwoordigen, dus biedt vrijwel elke apotheek een inleverdienst aan. Maar dat ‘mag’ dus niet meer van de AVG. Eveneens onterecht, wat mij betreft. En wel om dezelfde reden: een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terechtkomen. Dit valt gewoon buiten de AVG.

School maakt gezichten leerlingen zwart op foto: ‘Privacy staat voorop’, aldus RTL Nieuws. De school had leerlingen foto’s mee naar huis gegeven (gewoon als stukjes papier dus) maar daarop alle gezichten met een zwarte stift onherkenbaar gemaakt. “”We zijn een speciale school met een kwetsbare doelgroep. En we hebben altijd te maken met kinderen die niet op de foto willen”, zo motiveerde het bestuur de beslissing.

Een beetje raar. Het gaat om portfolios gemaakt door de kinderen zelf tijdens de lessen van het afgelopen jaar. Dat lijkt me dus redelijkerwijs noodzakelijk voor het leveren van het onderwijs, en daarmee te rechtvaardigen binnen de AVG. (Als die foto’s niet nodig zijn, waarom worden ze dan gemaakt?) En de privacy-impact lijkt me zeer gering omdat de foto’s alleen worden gedeeld met de betrokkenen zelf en hun wettelijk vertegenwoordigers. Deze zie ik dus niet helemaal.

Zelfs op het oog ‘onschuldige’ gegevens zoals het vrijgeven van het gewicht of de lengte van een voetbalspeler aan media is naar de letter van de nieuwe wetgeving niet toegestaan, zo meldde voetbalclub Feyenoord onlangs. Voetbalspelers zijn immers werknemers van de clubs, en werkgevers hebben de privacy van personeel te respecteren. Zij worden daarom terughoudender in mededeling doen over blessures en dergelijke van spelers.

Wederom onterecht volgens mij. Inderdaad, een gewone werkgever moet terughoudend zijn met privacygevoelige informatie van de werknemer aan derden verstrekken. Dat mag alleen als het voor het werk noodzakelijk is of er een zwaarwegend belang is voor de werkgever. Denk aan een klant bellen dat een afspraak niet doorgaat omdat de betreffende collega ziek is: dat is relevant voor het werk (maar wat deze persoon precies heeft, natuurlijk niet).

Specifiek bij professioneel voetballers en andere topsporters zie ik dat echter anders. Hun rol in de maatschappij is veel groter, zodat de informatievrijheid hier een zwaardere rol gaat spelen. Heel kort door de bocht, het publiek heeft er recht op te weten wat er met ‘hun’ sterspelers aan de hand is. Natuurlijk zitten daar grenzen aan, een live camera boven het ziekbed gaat hem niet worden. Maar een voetbalclub mag volgens mij best melden dat hun speler Robin van Persie een kuitblessure opgelopen heeft en daarom niet kan spelen.

Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?

Arnoud

“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

| AE 10680 | Ondernemingsvrijheid, Privacy | 6 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit:

Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal?

Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te gaan en alle documenten en dergelijke te retourneren aan het einde van het dienstverband. Dat zijn op zich geen rare afspraken. De teksten vind ik als jurist volkomen standaard. Je zou zelfs kunnen zeggen dat dat gewoon werkinstructies zijn, zo werken wij hier nu eenmaal en jij dus ook.

Wat de wenkbrauwen doet fronsen, is dat de werkgever er een stevig boetebeding aan koppelt: iedere overtreding van één van deze instructies wordt gestraft met een boete van €2.500 per keer en 250 euro per dag. Dat is natuurlijk geen instructie, dat is een afspraak. Boetes mogen in arbeidscontracten worden opgenomen, maar dat is een tweezijdige vrijwillige keuze die je in zo’n contract maakt, en geen eenzijdige “hier even tekenen en dan hang je vanaf nu”.

Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord op een aanpassing van je arbeidscontract kan niet worden afgedwongen, behalve als het gaat om een kleine wijziging die je in redelijkheid niet kunt weigeren. Dat is natuurlijk niet aan de orde bij een boetebeding, omdat dit zozeer 100% in het nadeel van de werknemer is.

Dus nee, ik denk niet dat je dit hoeft te tekenen. Als de werkgever bewijs wil dat jij deze instructies (artikel 1 dus) hebt gelezen, dan kan hij je verplichten bij artikel 1 “voor gezien” en krabbel te zetten. Artikel 2 is niet eenzijdig op te leggen, een boete vereist instemming van de werknemer. Dat moet er dus uit. En je persoonlijk aansprakelijk stellen voor de schade gaat ‘m ook niet worden, de lat daarvoor ligt héél hoog en enkel dat je een instructie negeert of je werkgever schade berokkent is nadrukkelijk bij lange na niet genoeg.

Arnoud

Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

| AE 9931 | Ondernemingsvrijheid | 27 reacties

Een lezer vroeg me:

Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag te nemen.

Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord kan in principe niet worden afgedwongen.

Specifiek bij wijzigingen van een arbeidscontract is er iets meer ruimte, grofweg wanneer de werknemer redelijkerwijs niet zou moeten weigeren. Dat zou kunnen spelen bij een functiewijziging, maar bij een beding als dit lijkt me dat niet op te gaan.

Minstens zo belangrijk is dat het juridisch niet mág, een werknemer persoonlijk aansprakelijk stellen voor niet-naleving van de AVG. Fouten in het werk die leiden tot zo’n niet-naleving zijn gewoon wanprestaties bij het werk, en die komen voor rekening van de werkgever (art. 6:170 BW).

Dit tenzij sprake is van opzet en grove nalatigheid, maar de lat daarvoor ligt zo hoog dat je er bij dit soort dingen vrijwel nooit aan komt. Sommige reglementen vermelden dan ook expliciet “iedere overtreding van de AVG wordt aangemerkt als opzet of grove nalatigheid” maar dat haalt niet eens de bulderlachtoets, laat staan de giecheltoets.

Ook een boete mag niet zomaar. Allereerst moet die boete in het arbeidscontract zelf staan (inclusief uitgewerkte regeling wanneer deze in werking treedt). Boetes in een eenzijdig aangekondigd reglement zijn sowieso niet geldig. Hier wordt de boete formeel in het contract zelf gezet, maar deze contractswijziging is geforceerd en dus ook niet rechtsgeldig.

Daarnaast mag een boete nooit hoger zijn dan een halve dag loon (art. 7:650 lid 5 BW). Met deze bedragen gaat het boetebeding dus sowieso van tafel.(Dit was onzin, dat verbod geldt alleen als je minimumloon verdient. Een hoge boete mag dus wel maar mag natuurlijk niet onredelijk hoog zijn, blauwe lijst algemene voorwaarden.)

Beide constructies zijn juridisch dus niet rechtsgeldig. Je hoeft dus niet te tekenen en dat kan juridisch geen gevolgen hebben. Natuurlijk mag de werkgever wel regels stellen over hoe je AVG-proof moet gaan werken, en mag hij je berispen of in extreme gevallen zelfs ontslaan als je die regels overtreedt. Die regels mag hij eenzijdig stellen, je akkoord als werknemer is daarvoor niet nodig. (Specifiek hier is die handtekening “voor gezien” wel nuttig, dan kun je niet ontkennen dat je wist van de regel.)

Een praktisch probleem blijft natuurlijk hoe je dat aan de werkgever overbrengt, zeker in situaties waarin deze zegt dat het wél moet en dat het wel rechtsgeldig is. Je kunt dan proberen het te escaleren via de vakbond of ondernemingsraad, of samen met collega’s bezwaar maken en kijken of dat meer indruk maakt.

Als men blijft vasthouden, dan zijn er twee opties: 1) je tekent niet, en hoopt dat hij je daar niet op afrekent door bv. een promotie te weigeren, 2) je tekent wel, en als het beding dan wordt ingeroepen dan start je een procedure bij de rechtbank om dat ongedaan te maken. Bij die tweede optie zou ik wel eerst de rechtsbijstandsverzekering vragen of ze dit dekken.

Wat zouden jullie doen?

Arnoud

Dutch Filmworks gaat in oktober illegale downloaders opsporen en laten betalen

| AE 9632 | Intellectuele rechten | 93 reacties

Filmdistributeur Dutch Filmworks heeft aangekondigd illegale downloaders van films vanaf oktober op te sporen en te laten betalen via een schikkingsvoorstel. Dat meldde Tweakers vorige week. De filmmaatschappij is al eventjes bezig, onder meer begin deze maand met toestemming van de privacytoezichthouder om IP-adressen aan NAW-gegevens te mogen koppelen van mensen die torrenten. Maar ik… Lees verder

Kabinet heeft geen interesse in Nederlandse boetewet sociale media

| AE 9530 | Uitingsvrijheid | 14 reacties

Het kabinet ziet niks in een nieuwe wet die sociale media beboet bij verspreiding van haatzaaiende berichten, meldde Nu.nl onlangs. Een recent aangenomen Duitse wet zet boetes tot 50 miljoen euro op het doen verspreiden van haatzaaiende, smadelijke of anderszins onrechtmatige inhoud, voor beheerders van social media platforms. Volgens de Nederlandse ministers zou dat weinig… Lees verder

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

| AE 9438 | Innovatie, Privacy | 7 reacties

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege… Lees verder

Lycamobile krijgt boete van 196.000 euro voor te hoge roamingtarieven

| AE 8722 | Informatiemaatschappij | 8 reacties

De Nederlandse mobiele provider Lycamobile krijgt een boete van 196.000 euro voor het berekenen van te hoge roamingtarieven in 2011 en 2012. Dat meldde Tweakers. De boete is hoog: 7 procent van de relevante omzet. Want ja, boetes mogen pijn doen. Lycamobile heeft in een deel van 2011 en 2012 te hoge roamingkosten in rekening… Lees verder

Wanneer is een cc een overtreding van de privacywet (en dus boetewaardig)?

| AE 8189 | Ondernemingsvrijheid, Privacy | 41 reacties

Een lezer vroeg me: Recent kreeg ik een aankondiging van een webwinkel. Ik niet alleen, nog 254 andere mensen ook. Ja, exact 254, want ik kon de mailadressen van iedereen zien in het cc: veld. Is dat nu ook een datalek? Wat voor boete staat erop? Per 1 januari bevat de Wbp een meldplicht datalekken,… Lees verder

Brein wil torrentschikking openbreken vanwege crowdfundingactie

| AE 8247 | Intellectuele rechten, Ondernemingsvrijheid | 24 reacties

Een lid van Kickass Torrents heeft crowdfundingcampagnes opgezet om uploaders DisasterZany en ipod020 te helpen met het betalen van hun schikkingsbedrag aan Brein, meldde Tweakers gisteren. De twee uploaders schikten eind november met de antipiraterijstichting voor niet nader bekend gemaakte bedragen. Tegen Tweakers zegt Breinbaas Kuik “dit muisje krijgt nog een staartje” nu het erop… Lees verder